Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los filtros de firewall (serie QFX)

Los filtros de firewall, a veces denominados listas de control de acceso (ACL), proporcionan reglas que definen si se deben aceptar o descartar paquetes que transitan por una interfaz. Si se acepta un paquete, puede configurar más acciones en el paquete, como el marcado de clase de servicio (CoS) (agrupando tipos similares de tráfico y tratando cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y la vigilancia del tráfico (controlando la tasa máxima de tráfico enviado o recibido).

Puede configurar filtros de firewall para determinar dónde aceptar o descartar un paquete antes de que entre o salga de un puerto, VLAN, CCC de capa 2, interfaz de capa 3 (enrutada), interfaz VLAN enrutada (RVI) o interfaz MPLS.

Se aplica un filtro de firewallde entrada (entrada) a los paquetes que entran en una interfaz o una VLAN, y un filtro de firewall de salida (salida) se aplica a los paquetes que salen de una interfaz o VLAN.

Nota:

Los policías en el puerto de red, las capas 2 y 3 o las interfaces IRB no vigilan el tráfico vinculado al host. Pero si desea evitar ataques de DDoS, puede crear un filtro de firewall en el lo0 que proteja el motor de enrutamiento.

Donde puede aplicar filtros

Después de configurar el filtro de firewall, puede aplicarlo a lo siguiente:

  • Puerto: filtra el tráfico de la capa 2 que transita los puertos del sistema.

  • VLAN: filtra y proporciona control de acceso para paquetes de capa 2 que entran en una VLAN, se puentean dentro de una VLAN o salen de una VLAN.

  • Interfaz de capa 3 (enrutada): filtra el tráfico en interfaces IPv4 e IPv6, interfaces VLAN enrutadas (RVI) y la interfaz de circuito cerrado. La interfaz de circuito cerrado filtra el tráfico enviado al propio conmutador o generado por el conmutador.

  • Interfaz CCC de capa 2: filtra las interfaces de conexión cruzada de circuito (CCC) de capa 2.

  • MPLS: filtra las interfaces MPLS.

También puede aplicar un filtro de firewall a una interfaz de administración (por ejemplo, me0) en un conmutador independiente QFX y EX4600. No puede aplicar un filtro a una interfaz de administración en un sistema QFX3000-G o QFX3000-M.

Nota:

Solo puede aplicar un filtro de firewall a un puerto, VLAN o interfaz CCC de capa 2 para una dirección determinada. Por ejemplo, para la interfaz ge-0/0/6.0, puede aplicar un filtro para la dirección de entrada y otro para la dirección de salida.

  • (Serie QFX) A partir de Junos OS versión 13.2X51-D15, puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida.

  • (QFX10000) A partir de Junos OS versión 18.2R1, puede aplicar filtros de firewall de entrada y salida con count acciones de policía en interfaces de circuito de capa 2.discard

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos OS versión 19.2R1, puede aplicar las interfacecondiciones , forwarding-classy loss-priority de coincidencia en la dirección de salida en interfaces IPv4 e IPv6.

Lo que hace un filtro de firewall

Cuando se configura un filtro de firewall, se define el tipo de dirección de familia (conmutación ethernet, inet (para IPv4), inet6 (para IPv6), conexión cruzada de circuito (CCC) o MPLS), los criterios de filtrado (términos, con condiciones de coincidencia) y la acción que se debe realizar si se produce una coincidencia.

Cada término consta de lo siguiente

  • Condición de coincidencia: valores que debe contener un paquete para considerarse coincidencia. Puede especificar valores para la mayoría de los campos en los encabezados IP, TCP, UDP o ICMP. También puede coincidir en nombres de interfaz.

  • Acción: acción realizada si un paquete coincide con una condición de coincidencia. Puede configurar un filtro de firewall para aceptar, descartar o rechazar un paquete coincidente y, luego, realizar más acciones, como contar, clasificar y controlar. La acción predeterminada es aceptar.

Cómo se procesan los filtros de firewall

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el conmutador realiza la acción definida por ese término y no se evalúan otros términos. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, lo compara con el siguiente término. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continúa comparando el paquete con cada término sucesivo en el filtro hasta que se encuentre una coincidencia. Si no hay términos coincidentes, el conmutador descarta el paquete de forma predeterminada.

Tabla de historial de versiones
Liberación
Descripción
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos OS versión 19.2R1, puede aplicar las interfacecondiciones , forwarding-classy loss-priority de coincidencia en la dirección de salida en interfaces IPv4 e IPv6.
18.2R1
(QFX10000) A partir de Junos OS versión 18.2R1, puede aplicar filtros de firewall de entrada y salida con count acciones de policía en interfaces de circuito de capa 2.discard
13.2X51-D15
(Serie QFX) A partir de Junos OS versión 13.2X51-D15, puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida.